KR20100055314A - 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물 - Google Patents
모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물 Download PDFInfo
- Publication number
- KR20100055314A KR20100055314A KR1020090038538A KR20090038538A KR20100055314A KR 20100055314 A KR20100055314 A KR 20100055314A KR 1020090038538 A KR1020090038538 A KR 1020090038538A KR 20090038538 A KR20090038538 A KR 20090038538A KR 20100055314 A KR20100055314 A KR 20100055314A
- Authority
- KR
- South Korea
- Prior art keywords
- instruction
- address
- system call
- entry point
- hardware
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
Claims (18)
- 프로세스가 실행되기 전에 상기 프로세스의 엔트리 포인트 정보를 검색하는 단계-상기 프로세스는 적어도 하나의 명령을 포함함-;상기 엔트리 포인트 정보에 따라 상기 프로세스에 상응하는 어드레스를 검색하는 단계-상기 어드레스는 상기 적어도 하나의 명령이 저장된 메모리 블록에 상응함-;상기 프로세스의 상기 적어도 하나의 명령을 실행하는 단계; 및상기 어드레스에 따라 상기 프로세스의 상기 적어도 하나의 명령을 기록하는 단계를 구비하며,하드웨어는 상기 엔트리 포인트 정보를 검색하고 상기 어드레스에 따라 상기 프로세스의 상기 적어도 하나의 명령을 기록하는 모니터 방법.
- 제1항에 있어서, 상기 모니터 방법은상기 프로세스에 상기 어드레스를 할당하는 단계를 더 구비하는 모니터 방법.
- 제1항에 있어서, 상기 엔트리 포인트 정보는프로세서 플래그인 모니터 방법.
- 제1항에 있어서, 상기 모니터 방법은상기 프로세스에 상응하는 적어도 하나의 시스템 콜을 실행하는 단계; 및상기 어드레스에 따라 상기 적어도 하나의 시스템 콜을 기록하는 단계를 더 구비하는 모니터 방법.
- 제4항에 있어서, 상기 적어도 하나의 시스템 콜은win32 시스템 콜 및 네이티브 시스템 콜 중의 하나인 모니터 방법.
- 제1항에 있어서, 상기 모니터 방법은상기 기록된 프로세스의 상기 적어도 하나의 명령에 따라 상기 프로세스가 악의적인 프로세스인지를 결정하는 단계; 및상기 프로세스에 응답을 하는 단계를 더 구비하는 모니터 방법.
- 마이크로프로세서가 모니터 방법을 수행하도록 하기 위한 프로그램을 저장한 컴퓨터 프로그램 기록매체에 있어서, 상기 프로그램은프로세스가 수행되기 전에 상기 마이크로 프로세서가 상기 프로세스의 엔트리 포인트 정보를 검색하도록 하는 제1 명령-상기 프로세스는 적어도 하나의 명령을 포함함-;상기 엔트리 포인트 명령에 따라 상기 마이크로 프로세서가 상기 프로세스에 상응하는 어드레스를 검색하도록 하는 제2 명령-상기 어드레스는 상기 적어도 하나 의 명령이 저장되는 메모리 블록에 상응함-;상기 마이크로프로세서가 상기 프로세스의 상기 적어도 하나의 명령을 실행하도록 하는 제3 명령; 및상기 마이크로프로세서가 상기 어드레스에 따라 상기 프로세스의 상기 적어도 하나의 명령을 기록하도록 하는 제4 명령을 포함하는 컴퓨터 프로그램 기록 매체.
- 제7항에 있어서, 상기 프로그램은상기 마이크로프로세서가 상기 어드레스를 상기 프로세스에 할당하도록 하는 제5 명령을 더 포함하는 컴퓨터 프로그램 기록 매체.
- 제7항에 있어서, 상기 엔트리 포인트 정보는프로세서 플래그인 컴퓨터 프로그램 기록 매체.
- 제7항에 있어서, 상기 프로그램은상기 마이크로프로세스가 상기 프로세스에 상응하는 적어도 하나의 시스템 콜을 실행하도록 하는 제5 명령; 및상기 마이크로프로세스를가 상기 어드레스에 따라 상기 적어도 하나의 시스템 콜을 기록하도록 하는 제6 명령을 더 포함하는 컴퓨터 프로그램 기록 매체.
- 제10항에 있어서, 상기 적어도 하나의 시스템 콜은win32 시스템 콜 및 네이티브 시스템 콜 중의 하나인 컴퓨터 프로그램 기록 매체.
- 제7항에 있어서, 상기 프로그램은상기 마이크로프로세스가 상기 기록된 프로세스의 상기 적어도 하나의 명령에 따라 상기 프로세스가 악의적인 프로세스인지 결정하도록 하는 제5 명령; 및상기 마이크로프로세스가 상기 프로세스에 응답하도록 하는 제6 명령을 더 포함하는 컴퓨터 프로그램 기록 매체.
- 중앙 처리 유닛(CPU), 저장 모듈 및 중대한 섹션을 포함하는 하드웨어를 위한 모니터 장치에 있어서,프로세스가 실행되기 전에 상기 저장 모듈로부터 상기 프로세스의 엔트리 포인트 정보를 검색하는 검색 모듈-상기 프로세스는 적어도 하나의 명령을 포함함-; 및상기 엔트리 포인트 정보에 따라 상기 CPU로부터 상기 프로세스에 상응하는 어드레스를 검색하는 분석 모듈-상기 어드레스는 상기 적어도 하나의 명령이 저장된 메모리 블록에 상응함-을 구비하며,상기 하드웨어의 상기 저장 모듈은 상기 CPU가 상기 프로세스의 상기 적어도 하나의 명령을 실행할 때 상기 어드레스에 따라 상기 프로세스의 상기 적어도 하나 의 명령을 기록하는 모니터 장치.
- 제 13 항에 있어서, 운영 시스템은 상기 프로세스에 상기 어드레스를 할당하는 모니터 장치.
- 제 13 항에 있어서, 상기 상기 엔트리 포인트 정보는프로세서 플래그인 모니터 장치.
- 제 13 항에 있어서, 상기 하드웨어의 상기 저장 모듈은상기 CPU가 상기 프로세스에 상응하는 적어도 하나의 시스템 콜을 실행할 때 상기 어드레스에 따라 상기 적어도 하나의 시스템 콜을 기록하는 모니터 장치.
- 제 16 항에 있어서, 상기 적어도 하나의 시스템 콜은win32 시스템 콜 및 네이티브 시스템 콜 중의 하나인 모니터 장치.
- 제 13 항에 있어서, 상기 모니터 장치는상기 하드웨어의 상기 저장 모듈에 의하여 기록된 상기 프로세스의 상기 적어도 하나의 명령에 따라 상기 프로세스가 악의적인 프로세스인지를 결정하는 결정 모듈; 및상기 프로세스에 응답하는 인터셉션 모듈을 더 구비하는 모니터 장치.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW097144331 | 2008-11-17 | ||
TW097144331A TWI401582B (zh) | 2008-11-17 | 2008-11-17 | 用於一硬體之監控裝置、監控方法及其電腦程式產品 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100055314A true KR20100055314A (ko) | 2010-05-26 |
KR101051722B1 KR101051722B1 (ko) | 2011-07-25 |
Family
ID=40750201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090038538A KR101051722B1 (ko) | 2008-11-17 | 2009-04-30 | 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20100125909A1 (ko) |
KR (1) | KR101051722B1 (ko) |
GB (1) | GB2465240B8 (ko) |
TW (1) | TWI401582B (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130143492A (ko) * | 2012-06-21 | 2013-12-31 | 제이에스알 가부시끼가이샤 | 액정 배향제, 액정 배향막, 위상차 필름, 위상차 필름의 제조 방법, 액정 표시 소자 및 중합체 |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8925089B2 (en) | 2011-03-29 | 2014-12-30 | Mcafee, Inc. | System and method for below-operating system modification of malicious code on an electronic device |
US8863283B2 (en) | 2011-03-31 | 2014-10-14 | Mcafee, Inc. | System and method for securing access to system calls |
US9317690B2 (en) | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
US9262246B2 (en) | 2011-03-31 | 2016-02-16 | Mcafee, Inc. | System and method for securing memory and storage of an electronic device with a below-operating system security agent |
US8966624B2 (en) | 2011-03-31 | 2015-02-24 | Mcafee, Inc. | System and method for securing an input/output path of an application against malware with a below-operating system security agent |
US20120254994A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for microcode based anti-malware security |
US8813227B2 (en) | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
US8966629B2 (en) | 2011-03-31 | 2015-02-24 | Mcafee, Inc. | System and method for below-operating system trapping of driver loading and unloading |
US9087199B2 (en) | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
US9038176B2 (en) | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
US9032525B2 (en) | 2011-03-29 | 2015-05-12 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
US8959638B2 (en) | 2011-03-29 | 2015-02-17 | Mcafee, Inc. | System and method for below-operating system trapping and securing of interdriver communication |
CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中***资源恶意侵占的防范方法和*** |
KR101305249B1 (ko) | 2012-07-12 | 2013-09-06 | 씨제이씨지브이 주식회사 | 다면 상영 시스템 |
EP2996034B1 (en) | 2014-09-11 | 2018-08-15 | Nxp B.V. | Execution flow protection in microcontrollers |
US9773110B2 (en) | 2014-09-26 | 2017-09-26 | Intel Corporation | Cluster anomaly detection using function interposition |
US9967267B2 (en) * | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
US9928366B2 (en) | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
EP4049156A4 (en) * | 2019-10-25 | 2023-07-19 | Hewlett-Packard Development Company, L.P. | IDENTIFICATION OF MALWARE |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7146305B2 (en) * | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US7657419B2 (en) * | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
TWI252976B (en) * | 2004-12-27 | 2006-04-11 | Ind Tech Res Inst | Detecting method and architecture thereof for malicious codes |
US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
US7349931B2 (en) * | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
US7603712B2 (en) * | 2005-04-21 | 2009-10-13 | Microsoft Corporation | Protecting a computer that provides a Web service from malware |
US20070074289A1 (en) * | 2005-09-28 | 2007-03-29 | Phil Maddaloni | Client side exploit tracking |
US20070094496A1 (en) * | 2005-10-25 | 2007-04-26 | Michael Burtscher | System and method for kernel-level pestware management |
CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
US20080034350A1 (en) * | 2006-04-05 | 2008-02-07 | Conti Gregory R | System and Method for Checking the Integrity of Computer Program Code |
US7814549B2 (en) * | 2006-08-03 | 2010-10-12 | Symantec Corporation | Direct process access |
US20080141376A1 (en) * | 2006-10-24 | 2008-06-12 | Pc Tools Technology Pty Ltd. | Determining maliciousness of software |
-
2008
- 2008-11-17 TW TW097144331A patent/TWI401582B/zh not_active IP Right Cessation
-
2009
- 2009-04-06 US US12/419,048 patent/US20100125909A1/en not_active Abandoned
- 2009-04-06 GB GB0905966A patent/GB2465240B8/en not_active Expired - Fee Related
- 2009-04-30 KR KR1020090038538A patent/KR101051722B1/ko active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130143492A (ko) * | 2012-06-21 | 2013-12-31 | 제이에스알 가부시끼가이샤 | 액정 배향제, 액정 배향막, 위상차 필름, 위상차 필름의 제조 방법, 액정 표시 소자 및 중합체 |
Also Published As
Publication number | Publication date |
---|---|
GB2465240B (en) | 2011-04-13 |
US20100125909A1 (en) | 2010-05-20 |
TWI401582B (zh) | 2013-07-11 |
GB0905966D0 (en) | 2009-05-20 |
GB2465240A (en) | 2010-05-19 |
KR101051722B1 (ko) | 2011-07-25 |
GB2465240B8 (en) | 2011-06-29 |
TW201020845A (en) | 2010-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101051722B1 (ko) | 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물 | |
US11188650B2 (en) | Detection of malware using feature hashing | |
US11416612B2 (en) | Protecting against malware code injections in trusted processes | |
US10235520B2 (en) | System and method for analyzing patch file | |
RU2589862C1 (ru) | Способ обнаружения вредоносного кода в оперативной памяти | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US20190034632A1 (en) | Method and system for static behavior-predictive malware detection | |
US8943592B1 (en) | Methods of detection of software exploitation | |
US10121004B2 (en) | Apparatus and method for monitoring virtual machine based on hypervisor | |
US9804948B2 (en) | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing | |
US10929537B2 (en) | Systems and methods of protecting data from malware processes | |
KR101816751B1 (ko) | 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 | |
Han et al. | Malware classification methods using API sequence characteristics | |
JP6734481B2 (ja) | コールスタック取得装置、コールスタック取得方法、および、コールスタック取得プログラム | |
US9202053B1 (en) | MBR infection detection using emulation | |
US10678917B1 (en) | Systems and methods for evaluating unfamiliar executables | |
CN113176926B (zh) | 一种基于虚拟机自省技术的api动态监控方法及*** | |
US9208314B1 (en) | Systems and methods for distinguishing code of a program obfuscated within a packed program | |
US8141153B1 (en) | Method and apparatus for detecting executable software in an alternate data stream | |
KR20160133927A (ko) | 안드로이드 시스템 기반의 단말에서의 루팅 탐지 장치 및 방법 | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US20240061931A1 (en) | Executable file unpacking system and method for static analysis of malicious code | |
US10546125B1 (en) | Systems and methods for detecting malware using static analysis | |
JP2006106939A (ja) | 侵入検知方法及び侵入検知装置並びにプログラム | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140708 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150706 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160711 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180711 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190710 Year of fee payment: 9 |